新的漏洞报告不断涌现，但信息安全行业观察家表示，这些报告提供给企业的价值越来越让人质疑，企业更应该关注风险管理，而不是漏洞数量。

日前，安全供应商Secunia与一名安全研究人员正在围绕这个问题进行辩论。在Secunia公司上个月发布的2015年漏洞报告中，该公司指出2014年在3870个应用中共发现15435个漏洞。

然而，对于得出这些数据所使用的方法以及展现这些数字的方式的透明度引发了广泛的争议。

开源漏洞数据库（Open Sourced Vulnerability Database）内容经理兼开放安全基金会（Open Security Foundation）总裁Brian Martin表示，由于采用他所谓的备受争议的计数方法，Secunia公司人为地夸大了漏洞问题，并未正确展现漏洞总数。

Martin认为，Secunia提供的统计数据很难与其他漏洞数据库进行比较，这可能导致混淆，并且，Secunia对这些数字是如何产生缺乏透明度，这可能让人们对这些数字得出的结论表示质疑。

Martin指出，由于时间和资源限制，没有任何漏洞数据库可以登记整年中发现的所有漏洞，但他建议应采取某些标准作为最低基线。

“他们的15000个漏洞的数字与世界其他报告没有关联；无法与其他漏洞数据库进行比较，例如MITRE的CVE、NVD、IBM X-Force或者赛门铁克BID。Secunia没有保持与CVE的100%的映射，”Martin称，“至少，每个漏洞数据库应该映射到CVE，如果没有，你应该问为什么。”

在一份声明中，Secunia仍然支持其背后的方法，但拒绝对此作出进一步评论。

源源不绝的漏洞

然而，Martin表示，无法记录所有漏洞并不仅仅是Secunia研究方法的问题，因为每年发现太多漏洞。例如，他提到去年年底卡内基梅隆大学软件工程研究所CERT研究团队漏洞分析师Will Dormann的研究，其中发现数万Android应用包含与正确验证SSL证书有关的漏洞。他指出，这些漏洞加起来超过23000个，但大多数数据库在大约1000个就停止登记它们，因为受影响应用变得过于模糊。

Dormann称，他被要求停止分配CVE编号到他发现的Android漏洞，因为有太多漏洞。

Martin描述了两种类型的漏洞。首先是上述的Android应用漏洞，其中定义的协议被错误部署。他建议这些应该作为独立出现的漏洞来计算，因为为了修复这些漏洞，每个补丁在编码层面会有所不同。

Martin还表示，Secunia公司人为夸大其漏洞数量，这是针对第二种漏洞。他使用Heartbleed作为例子，这是基于OpenSSL中的漏洞，这意味着任何使用OpenSSL的软件都“存在”该漏洞。Martin声称，无论这种漏洞影响多少种不同产品，都应该作为一个漏洞，因为最终的补丁在于更新软件内的OpenSSL库，不管多少软件产品受影响，这个过程都会是相同的。

在其漏洞报告中，Secunia分别计算了每个Heartbleed漏洞出现的次数，Martin称这意味着它会被算作几百或几千次，当与其他数据库对比或者用于分析时，可能造成混淆。

“我认为使用这种方法是完全错误的，如果你还要基于此提供统计数据的话，”Martin提到Secunia的做法时称，并认为透明度是最好的解决办法，“解释这些数字的含义；不要将它们称为漏洞数量，而是漏洞的例子。应该非常简单地表明数字的真正含义。”

专注风险管理

Dormann称，人们经常会关注漏洞数量，因为他们总是认为可以从这些数据中得出结论，但这可能是一个陷阱。他表示，漏洞的峰值通常是由于新工具造成，这些新工具可以更容易找到漏洞，或者因为他所谓的“孩子们的足球效应”，即研究人员都聚集在新产品或技术中。

“漏洞技术是非常狭隘和危险的度量，着眼于这样的数据没有什么益处，”Dormann称，“在很多情况下，我们可以通过很多方法来积极防范漏洞。如果现在漏洞没有被利用，最终可能会被利用，因此，企业应该部署保护措施。”

而SANS技术研究所研究主任Johannes Ullrich认为Secunia的方法很合理，因为他是从风险的方面来看这个问题。

“如果你有两台或三台服务器有Heartbleed漏洞，这会增加曝光，”Ullrich称，“你真正需要的是评估你的风险，Secunia公司展现了这种曝光度，但他们并没有谈论攻击的可能性。他们提供的只是你所需要的一半内容。”

Ullrich认为，侧重漏洞数量可能让企业无法专注真正的修复系统工作。他指出最新研究显示，很多企业仍然面临Heartbleed的威胁，因为企业未充分进行修复工作。

“企业需要部署很好的补丁修复过程，确保漏洞得到正确修复，并保持记录已经做的工作和需要做的工作，”Ullrich称，“如果你只是安装补丁，你可能没有处理其他事情，例如配置变更或证书。”

Martin同意称，企业重点应该放在相关风险，因为他认为漏洞数量只在它们发布时刻具有相关性。他表示，当他第一次看到2012年漏洞数量时，只是刚刚超过8800，而现在2012年包含近10500个漏洞。

“为什么企业要关心漏洞数量？这对监控漏洞的安全公司才更有意义，”Martin称，“企业应该更加注重其供应商以及每个供应商发现的漏洞。他们应该问，‘哪些漏洞影响着我们？’”